contributors -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/nm.pp (make lint happy)

nm -> hiera role; explicitly include apache2

dedup -> hiera role; explicitly include apache2

One of the last changes broke dbmaster role based ferm rules

In particular, we allowed HOST_DB ssh to all our hosts.  That does not
make semantic sense, since the db host does not need to ssh to all the
other hosts (the reverse is true).

However, since draghi makes for a useful fallback jumphost, we now
explictly allow it.  We need to figure something out for the other role
based ferm rules.

do not use role-based ssh restrict

For now we fall back to and continue to use hostnames, but we should
switch this to something more sane longterm.

whitespace/quoting: modules/roles/manifests/dbpp (make lint happy)

hiera -> hiera role; explicitly include apache2

api.ftp-master -> hiera role; explicitly include apache2

piuparts* -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/piuparts* (make lint happy)

tracker -> hiera role; explicitly include apache2

whitespace/quoting: modules/roles/manifests/tracker.pp (make lint happy)

whitespace/quoting: modules/roles/manifests/vote.pp (make lint happy)

vote -> hiera role; explicitly include apache2

debconf_wafer -> hiera role

debconf_wafer: explicitly include apache2

whitespace/quoting: modules/roles/manifests/debconf_wafer.pp (make lint happy)

apache2: merge ipv4 and ipv6 ferm rule

and note that casulana's apache is not public

cdbuilder_local_mirror role cleanup

whitespace/quoting: modules/roles/manifests/cdbuilder_local_mirror.pp (make lint happy)

bugs role cleanup

Make apache nproc rlimit not depend on role memberships

Fix bugs_mirror role include for beach

Make apache worker config not depend on role memberships

whitespace change only: modules/apache2/manifests/init.pp (make lint happy)

Make the lists class include apache2

roles/lists: whitespace change

lists -> hiera role

postfix: whether or not we touch main.cf is not dependent on membership in the lists role

postfix/init: whitespace change

bugs_mirror -> hiera role

Make the bugs_mirror class include apache2

Do tcp bbr and fq scheduling not only on busy hosts but all of them

rtc -> hiera role

keyring -> hiera role

weblog_destination -> hiera role

Every weblog provider except mirror-umn is a static_mirror_web.  So include weblog provider from static_mirror_web.  umn was one of those at one point but is not at the time.  this effectively drops it from the weblog providers

switch weblogsync to other ssh facter

insecure_ssl "role" -> ssl class parameter

salsa -> hiera role

sreview, veyepar -> hiera role

anonscm -> hiera role

no hosts (directly) in roles::archvsync_base

the ipsec role is no longer relevant.  both nodes in it load profile::ipsec::fasolo_storace

alioth_archive -> hiera role

We no longer need the roleaccounts staticsync fact, we are using the new ssh_keys_users fact instead

switch the statis hosts to hiera roles

replace some checks for roles::static_master with staticync::static_master

Switch to collected clients.conf

Merge branch 'staticsync-as-a-module'

* staticsync-as-a-module:
  Make staticsync a module and update references
  staticsync-ssh-wrap: drop wheezy compatible rsync call in allowed list
  move things from modules/roles/static* to modules/static*

Make staticsync a module and update references

staticsync-ssh-wrap: drop wheezy compatible rsync call in allowed list

move things from modules/roles/static* to modules/static*

Files and headers etc. have not yet been modified.  That's the next
step.  This was strictly a git mv.

rename dsa-puppet-stuff to puppet-crontab

Update manifests/static/ssh.pp to new authorized_key_add interface

Copy updated and documented authorized_key_add from Tor

The interface changed slightly:
 - from_hosts is from
 - restrict is now an options array that defaults to ['restrict']

callers will be updated with the next commit.

authorized_key_collect: do away with manual ordering, and set ensure_newline on the concat

Copy improved ssh::keygen from tor

This supports providing the name for the key (defaults to id_rsa).

It also uses a more generic facter, one that doesn't require us manually
listing every single role we care about.

Copy the ssh_keys_users facter from Tor

Split the web stuff out of the static_mirror role

re-enable puppet access

Try to avoid reserved site keyword; s///g would have been a good idea

Try to avoid reserved site keyword

disallow puppet access from clients for now

Drop unused file

Add wuiet volumes at UBC

split out onionmaster into its own role

Remove the pkglist fact.  It's a) unused and b) slightly buggy

Make static-master-ubc-01 a static-master

include static_master class using hiera

Retire unused ferm varible definitions for HOST_STATIC*

ssh between static hosts should be handled by the ssh::authkey storedconf stuff

We do not do bittorrent between static hosts (yet/these days)

restrict ssh to static-master-ubc-01 by default.  we really really should move this config out of the template

restrict ssh to static-master-grnet-01 by default.  we really should move this config out of the template

Add static-master-ubc-01 volumes

fix a typo

retire long obsolete file removals

remove stray file

fix undefined variable issue

get list of mirrors from puppet

Make static-components.conf.erb more readable, maybe

sort mirror names

Document static-components.yaml

static-components: rename variables

fix a fact name.  sed was too eager

make manziarly a static master

Tell apt to use ca-global for cdn-aws.deb.debian.org

autofs: manziarly is now ubc

Try to make resolv.conf options actual class parameters

Use https on deb.debian.org

The trick for merge options to work is to use lookup() rather than hiera()

temporarily hardcode debian.org and end of searchpaths

resolv.conf cleanup, fix 1

resolv.conf cleanup

volumes for manziarly at ubc

hoster.yaml: remove obsolete comments

remove debian mirrors from hoster.yaml